O Federal Bureau of Investigation (FBI) diz que um grupo responsável pelo ransomware Black Cat, também conhecido como ALPHV, violou as redes de pelo menos 60 organizações em todo o mundo entre novembro de 2021 e março de 2022.
A Divisão Cibernética do FBI revelou isso em um alerta TLP:WHITE divulgado na quarta-feira em coordenação com a Agência de Segurança Cibernética e Infraestrutura (DHS/CISA).
O alerta flash faz parte de uma série de relatórios semelhantes que destacam as táticas, técnicas e procedimentos (TTPs) usados e indicadores de comprometimento (IOCs) vinculados a variantes de ransomware identificadas durante as investigações do FBI.
Desde o início do ano, o FBI emitiu outros alertas destacando como as gangues de ransomware, incluindo BlackByte, Ragnar Locker e Avoslocker, estão atacando e já violaram dezenas de organizações de infraestrutura crítica dos EUA.
Ransomware BlackCat atinge todo o mundo
O BlackCat/ALPHV “é o primeiro grupo de ransomware a fazer isso com sucesso usando o RUST, considerado uma linguagem de programação mais segura que oferece desempenho aprimorado e processamento simultâneo confiável”, disse o FBI.
O executável de ransomware do BlackCat também é altamente personalizável e vem com suporte para vários métodos e opções de criptografia que facilitam a adaptação de ataques a uma ampla variedade de ambientes corporativos.
Ransomware BlackCat pertence ao BlackMatter
“Muitos dos desenvolvedores e lavadores de dinheiro do BlackCat/ALPHV estão vinculados ao Darkside/Blackmatter, indicando que possuem extensas redes e experiência com operações de ransomware”, acrescentou o FBI.
A operação DarkSide RaaS foi lançada em agosto de 2020 e foi encerrada em maio de 2021 após os esforços das agências de aplicação da lei para derrubar a gangue após o ataque amplamente divulgado ao Colonial Pipeline.
Enquanto eles foram renomeados como BlackMatter em 31 de julho, logo foram forçados a fechar novamente em novembro de 2021, depois que a Emsisoft encontrou e explorou uma fraqueza no ransomware para criar um decodificador, e os servidores da gangue foram apreendidos.
Um representante da gangue do ransomware LockBit foi o primeiro a expor o link BlackCat/BlackMatter um mês após o lançamento do ransomware BlackCat em novembro de 2021.
A gangue BlackCat também estabeleceu uma conexão em uma entrevista ao The Record publicada vários meses depois, em fevereiro de 2022, mas não confirmou a real mudança de marca da BlackMatter.
Embora a BlackCat afirme que é apenas uma afiliada da DarkSide/BlackMatter que lançou sua própria operação Ransomware-as-a-Service (RaaS), alguns pesquisadores de segurança não estão comprando, especialmente depois de encontrar semelhanças em recursos e arquivos de configuração.
Vítimas devem denunciar ataques e não pagar resgates
No alerta flash de quarta-feira, o FBI também pediu aos administradores que detectam a atividade do BlackCat para compartilhar qualquer informação relacionada com o esquadrão cibernético local do FBI.
Informações úteis que ajudariam a rastrear e identificar os agentes de ameaças por trás desse grupo de ransomware incluem “logs de IP mostrando retornos de chamada de endereços IP estrangeiros, endereços Bitcoin ou Monero e IDs de transação, comunicações com os agentes de ameaças, o arquivo descriptografador e/ou um arquivo benigno amostra de um arquivo criptografado.”
O FBI disse que não incentiva o pagamento de resgates ao BlackCat, pois as vítimas não têm garantia de que isso impedirá futuros ataques ou vazamentos de dados roubados.
No entanto, a agência federal reconheceu os danos causados por ataques de ransomware, que podem forçar os executivos da empresa a pagar o resgate e proteger acionistas, clientes ou funcionários.
O FBI também compartilhou medidas de mitigação para ajudar os defensores da rede a bloquear tais ataques e instou fortemente todas as vítimas do BlackCat a relatar tais incidentes ao escritório local do FBI.
Via BleepingComputer